Mezitím jsme dostali reakci od PayPal. Google Pay se ve spojení s PayPal jako platební prostředek docela osvědčil a pro mnoho uživatelů je oblíbenou alternativou k bezhotovostním anebo karetním platbám. Teoreticky můžete tuto praktickou službu využít všude tam, kde lze platit bezkontaktně, a také v některých online obchodech. Minulý víkend však byli někteří uživatelé informováni o platebních transakcích, které sami neprovedli.
Neoprávněné transakce se týkaly např. online obchodu Target, kde bylo některým uživatelům strženo z účtu více než 1700 EUR. Postiženým uživatelům byly často účtovány nápadně stejné částky, v jiných případech se jejich hodnota značně lišila. Mnoho uživatelů také "provedlo" tři až čtyři platby v rychlém sledu za sebou.
ochranná opatření uživatelů selhala
Společnosti Google i PayPal už vydaly k bezpečnostním problémům svá stanoviska.
Co je obzvlášť znepokojující: zdá se že mnoho uživatelů dokonce chránilo své účty pomocí dvoufaktorové autentizace, což považovali za dostatečnou ochranu před hackerskými útoky. Při přihlašování do účtů nepozorovali žádné abnormality, které by indikovaly potenciální kompromitaci přihlašovacích údajů nebo hackerské útoky.
Pokud byste podobný problém zaznamenali i u svého účtu, pořiďte si výpisy těchto plateb, nebo alespoň screenshoty obrazovek s neoprávněnými platbami, a odešlete je na PayPal i Google Pay. Získáte tak důkaz o neoprávněném převodu peněz a udělali jste v tomto ohledu maximum. Jeden ze dvou poskytovatelů se v případě závažného narušení bezpečnosti nebo systémové chyby bude muset k problému vyjádřit.
Získali jsme stanovisko od PayPal
O problémech některých uživatelů s neoprávněnými debety na svých účtech v souvislosti s platbami Google Pay a PayPal jsme vás informovali v pondělí, 24. února 2020. Mezitím jsme obdrželi reakci od tiskového oddělení PayPal:
„Vždy máme ve společnosti PayPal na paměti skutečnost, že primárně pečujeme o peníze lidí. Zabezpečení zákaznických účtů je pro společnost PayPal nejvyšší prioritou. Používáme pokročilé nástroje pro odhalování podvodů a rizik, abychom zajistili bezpečnost našich zákazníků a jejich plateb. Tento problém jsme rychle vyřešili. Potíže ovlivnily velmi malý počet zákazníků PayPal používajících Google Pay v Německu.
Žádné osobní a finanční informace nebyly ohroženy a třetí strany neměly přístup k žádnému účtu PayPal. V souladu s našimi běžnými zásadami vrátí PayPal postiženým zákazníkům jakékoli neoprávněné transakce.“
Google reaguje na chybu zabezpečení: částku vrátí služba PayPal
Se svým prohlášením se přidal i Google:
"Chápeme frustraci uživatelů, kteří zaznamenali neobvyklou aktivitu na svých účtech, a vítáme skutečnost, že PayPal jednal rychle, aby problém vyřešil. Zabezpečení je pro Google Pay nejvyšší prioritou. Platební podvod je složitá výzva a náš tým bude i nadále pomáhat našim partnerům zajistit ochranu uživatelů."
Mezitím společnost PayPal podle svých vlastních prohlášení bezpečnostní mezeru opravila a zákazníci, kterých se to týká, dostanou zpět své peníze: „V souladu s našimi pokyny pro užívání služeb vrátíme postiženým zákazníkům všechny neoprávněné platby,“ uvedl poskytovatel platebních služeb.
Jaká vlastně byla příčina problému
Při realizaci plateb přes Google s PayPal se používá virtuální platební karta umožňující bezkontaktní platbu. Během vývoje systému se však objevily dvě chyby. Platební karty podporující NFS lze používat nejen v obchodě, ale také pro platby online, což je ve srovnání s podobnými platebními systémy neobvyklé.
Útočníci mohli načíst číslo platební karty potenciální oběti prostřednictvím NFC. To jim poskytlo veškeré informace, které potřebují k provedení neoprávněných transakcí.